QNAP 公布 2025 年 Bounty Program 成果

儲存、網通及運算解決方案的創新者威聯通®科技 (QNAP® Systems, Inc.) 今日公布 2025 年 QNAP Bounty Program 年度成果，展現在產品安全上的持續投入，並透過透明且制度化的協作機制推動整體安全提升。

攜手全球資安研究社群

截至 2025 年 12 月 1 日，QNAP 透過 Bounty Program 收到 224 份弱點報告後指派 CVE (Common Vulnerabilities and Exposures) ID，並成功在內部流程中快速定位並修補問題，所有 Critical / Important 等級漏洞均能在 1 週內完成修補，大幅降低產品資安潛在風險。

今年共有 151 位外部資安研究員為 QNAP 產品安全做出貢獻；截至 9 月，QNAP 已發出 US$ 88,000 獎金，感謝研究社群對提升用戶資料安全的支持。QNAP 將持續推動協作式漏洞揭露 (CVD) 文化，強化與資安社群的長期合作。

威聯通產品資安事件應變團隊 (PSIRT) 資深經理黃士展表示：「建立透明的回報管道、攜手研究社群，是企業強化安全成熟度的重要基礎」

積極參與全球資安競賽與專業測試

為確保產品能在真實威脅情境中維持高韌性，QNAP 積極參與國際級競賽與第三方安全測試，包括：

• Pwn2Own 2024 及 Pwn2Own 2025：透過高強度攻防情境驗證產品防護能力

• 國家資通安全研究院 (NICS) 產品資安漏洞獵捕活動：參與國家級資安檢測架構

• 委託頂級資安公司進行紅隊滲透測試：以全攻擊鏈模擬方式強化 QuTS hero 系統韌性

這些參與不僅提升 QNAP 的攻防視野，也加速內部安全機制的改善與落地。

流程升級與安全治理強化

為構建更安全與透明的產品開發環境，QNAP 今年進一步強化安全軟體開發生命週期 (SDLC) 的關鍵環節，包括：

• AI 輔助 Code Review：導入 AI 技術提升程式碼稽核效率，透過自動化檢測降低人為疏漏。

• 建立軟體物料清單 (SBOM)：確保軟體元件資訊的透明度，協助企業有效管理供應鏈風險並符合相關安全規範。

開發與測試流程安全強化：將弱點檢測納入 CI/CD 自動化流程，以即早攔截問題；在 QA/QC 測試階段則透過專業掃描軟體提升驗證品質，使漏洞能在產品發布前被確實發現並修復。

打造永續資安體質，歡迎人才加入 QNAP PSIRT

隨著 Bounty Program 與內部安全流程持續拓展，QNAP 正積極擴編 PSIRT (Product Security Incident Response Team)，尋找具資安熱忱的專業人才。歡迎更多致力於安全研究、漏洞分析與安全工程的夥伴加入，一同打造值得全球用戶信賴的安全平台。

了解更多 QNAP Bounty Program 與產品安全資訊，請造訪：https://www.qnap.com/go/security-bounty-program/

關於 QNAP

QNAP 以軟體創新、硬體工藝與自有產線打造高品質科技產品，長期深耕儲存、網通與智慧監控領域，並以雲服務串聯資料流，為用戶帶來更安全、智慧與高效率的資料運用與工作流。在 QNAP 的願景中，NAS 已不再只是儲存設備，而是整合高可用性架構、資安防護、邊緣 AI、IT/OT 韌性與雲端管理的平台核心，協助各行各業在快速變動的數位環境中保持競爭力